O documento do SWGDE, “Best Pratices for Computer Forensics Version 2.1 (July 2006)” sugere uma série de procedimentos básicos para a busca e apreensão, assim como para a manipulação da evidência digital, conforme dissemos no primeiro post deste blog. A seguir veremos as recomendações para a coleta e manipulação de provas.
Coleta – A coleta é a primeira etapa na aquisição da evidência de um crime ou incidente. Pode ser realizada durante uma operação de busca ou apreensão, durante um flagrante ou ainda, ser fornecido pela vítima do fato em questão, dando início à cadeia de custódia. Assim devemos observar os seguintes pontos:
- Em primeiro lugar é primordial saber o que encontraremos pela frente para que possamos estar de posse das ferramentas necessárias;
- Também devemos ter foco no expediente legal que norteará a coleta, seja uma ordem judicial, uma guia pericial ou outro expediente qualquer, emitido pela autoridade que requisita os exames, de forma a dar valor legal à evidência coletada;
- Na impossibilidade de removermos a prova devemos realizar a cópia ou imagem das mesmas de acordo com os procedimentos locais (Falaremos a respeito mais à frente);
- Todos aqueles que estiverem no local da coleta, sejam suspeitos, testemunhas ou observadores devem ser mantidos afastados das evidências, após se certificar que não estão de posse de material de interesse;
- Buscar se informar destes acerca da evidência apreendida, como senhas, nomes de usuários, endereços de e-mail, etc,;
- O local de crime deve ser inspecionado com cuidado e critério em busca de evidências em potencial.
Manipulação de evidências – O manuseio inadequado pode inviabilizar por completo a evidência de um crime ou incidente e somente deverá ser realizada por pessoa devidamente capacitada para tal tarefa. Vejamos:
- Se um computador estiver desligado não o ligue sob nenhum pretexto, pois esta iniciativa caracteriza a violação do local de crime, podendo por a perder a evidência encontrada;
- Documente as condições da evidência através de fotos dos itens apreendidos no seu local de origem, esboços sobre as conexões existentes com outros dispositivos, além da área em torno.
- Caso os itens apreendidos apresentem danos, documente-os;
- Dispositivos com memória volátil devem ser tratados de forma adequada de modo que não se perca os dados ali existentes (Análise a quente ou fonte de energia);
- Se ligados, os equipamentos devem ser desligados de forma adequada, através de comandos do sistema operacional, após capturar os dados contidos em sua memória (análise a quente);
- Os cabos de força das estações e servidores, assim como as baterias de notebooks devem ser removidos, colocando-se lacre nos conectores dos equipamentos ou no encaixe das baterias;
- As evidências apreendidas devem ser colocadas em embalagens adequadas e transportadas de forma a protegê-las de vibrações, campos eletro-magnéticos, eletricidade estática a variações de temperatura e umidade.
Até o próximo.